SombRAT
SombRAT is een achterdeurbedreiging waarvan wordt aangenomen dat deze wordt ingezet in campagnes door wat wordt beschouwd als een groep van bedreigingsactoren genaamd CostaRicto die hackingdiensten te huur aanbiedt. De tools die ze gebruiken, waaronder SombRAT, lijken ofwel op maat gemaakt of specifiek gemaakt voor deze hackergroep, aangezien ze niet buiten CostaRicto- operaties verschijnen.
Bepaalde details in de code van SombRAT wijzen erop dat de malwarebedreiging op een gegeven moment Sombra heette, een personage uit de populaire game Overwatch dat wordt beschreven als specialist in spionage en intelligentiebeoordeling en die over geweldige hackvaardigheden beschikt. SombRAT, geschreven in C ++, wordt gekenmerkt door de typische achterdeurfunctionaliteit die betoverd wordt door een plug-inarchitectuur. Dit betekent dat de CostaRicto-aanvallers de dreiging voornamelijk gebruiken als een tussenpersoon die aanvullende beschadigde plug-ins of binaire bestanden laat vallen en uitvoeren en specifieke systeemgegevens kan exfiltreren, processen kan beëindigen en bestanden kan uploaden naar de Command-and-Control (C&C, C2) -infrastructuur op zijn eigen.
Bij uitvoering op de beoogde computer, controleert SombRAT eerst of het als een service wordt uitgevoerd en maakt vervolgens een eenmaal uitgevoerde mutex met & HOSTNAME & gevolgd door 'S', 'U' of 'SU', bepaald door de specifieke rechten die de dreiging werd uitgevoerd met. Wanneer SombRAT volledig is geïmplementeerd, kan het 50 verschillende commando's herkennen die grofweg in zes groepen kunnen worden verdeeld, elk met een aparte interface - Core, Taskman, Config, Storage, Debug en Network.
Voordat het opdrachten kan ontvangen, moet SombRAT een verbinding tot stand brengen met de C2-servers. Dit wordt bereikt via DNS-tunneling of TCP-sockets, waarbij het communicatieverkeer wordt gecodeerd met RSA-2048. Het C2-domein is hard gecodeerd in de dreiging, terwijl het subdomein wordt bepaald door het gebruik van een Domain Generation Algorithm (DGA).
Alle gegevens die door SombRAT worden verzameld, samen met de configuratiedetails en eventuele gedownloade plug-ins, worden in een bestand geplaatst dat is gemaakt in de map% TEMP% met een aangepast databaseformaat. Het bestand gebruikt AES-256 als een versleutelingsalgoritme, en elke keer dat de malware wil lezen wat al is opgeslagen of nieuwe informatie wil toevoegen, moet het het hele bestand ontsleutelen en vervolgens opnieuw versleutelen.
